红虎资料论坛个人信息保护管理办法
吉农院院发〔2023〕74号
第一章 总 则
第一条 为了充分保护红虎资料论坛用户的个人信息权益、保障用户信息安全,优化用户体验,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《信息安全技术个人信息安全规范》(GB/T35273-2020)、《互联网个人信息安全保护指南》以及 《红虎资料论坛网络和信息安全管理办法》等文件精神,制订本办法。
第二条 个人信息是指能够单独或者与其他信息结合识别特定自然人的各种信息,不包括匿名化处理后的信息。包括但不限于如下信息:
姓名、出生日期、身份证件号码、个人生物识别信息、银行账号、住址、个人通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、成绩信息等。
个人敏感信息指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括但不限于如下信息:
身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第三条 本办法适用于学校所有师生和聘用人员、系统向用户提供的所有服务(即通过计算机设备、移动终端或其他设备获得的系统相关服务)。
第四条 个人信息保护应遵循如下原则:
1.合法原则:不得违反相关法律、法规的规定;
2.最小必要原则:在满足信息化建设必要需求前提下,在最小范围内收集、存储、使用个人信息,对于个人信息的处理采用最小操作权限划分,不得超范围处置个人信息;
3.安全原则:信息化建设中应采用必要的安全技术措施和管理手段,保障个人信息的完整性、保密性及安全性,避免个人信息泄露、损毁和丢失;
4.知情同意原则:除学校信息化建设以外的其他信息化应用中使用的个人信息,应明确告知相关个人,并由个人自愿同意后,方可使用。
第二章 职责与权限
第五条 网络安全和信息化领导小组是个人信息保护工作的领导机构,负责贯彻落实上级有关部门关于个人信息保护工作的发展战略、宏观规划、重大政策和工作部署,统一领导、统一谋划、统一部署学校的个人信息保护工作,统筹协调和决策学校个人信息保护工作中的重大问题等。
第六条 网络安全和信息化领导小组办公室主要负责组织落实领导小组的各项决议与工作部署,落实国家有关个人信息保护安全法规、方针、政策、标准和规范;指导、协调和检查学校各部门个人信息保护工作。
第七条 各部门党政负责人是本部门个人信息保护工作第一责任人,同时按照“谁收集,谁负责”、“谁使用,谁负责”、“谁发布、谁负责”的原则,责任到人,落实本部门个人信息安全保护措施,保障个人信息安全。
第八条 校内师生为其个人信息所有者,师生有权查询本人的个人信息,有权更正错误的个人信息,有权对违规处置个人信息的行为向网络安全和信息化领导小组办公室进行反馈和报告。当个人信息发生变化时,有义务向数据源部门进行更新。
第三章 个人信息的收集、存储、传输、使用、删除
第九条 未经网络安全和信息化领导小组批准,校内任何部门和个人不得以任何理由,私自收集学校范围内的师生、聘用人员等个人信息;各部门未经部门负责人批准,任何人不得以任何理由,私自收集本部门师生、聘用人员等个人信息。
第十条 数据收集应遵循最小必要原则,明确收集依据、范围、场景和用途,原则上不得超越本部门的工作职能收集数据。
第十一条 各部门按照“一数一源”的原则,优先通过学校数据共享平台匹配需求,原则上数据共享平台中已有数据应通过共享的方式获取数据。
第十二条 各部门原则上不得收集学生、家长、教师的个人生物识别信息。
第十三条 个人信息在存储和传输过程中必须进行加密处理,采取有效技术手段和管理措施保护存储个人信息的服务器和数据库,避免个人信息的泄露、损坏或丢失,且不得使用社会电子邮件系统、聊天平台等方式传递。原则上个人信息均需要在数据中心服务器本地存储,不得在校外、校内非数据中心环境中存储。
第十四条 在信息化管理中,使用个人信息时应严格遵循合法原则、最小必要原则、安全原则和知情同意原则。因信息化建设工作需要,可接触到个人信息的相关人员,对相关个人信息负有保密责任,严禁未经授权对外提供个人信息。
第十五条 在信息化建设过程中,校外企业需要使用学校个人信息时,承办部门需要与校外企业签订数据保密协议。
第十六条 校内其他非个人信息管理系统需使用个人信息时需充分评估合法性、必要性和安全性,只有缺乏相关个人信息就无法正常使用的系统,在安全性可以满足个人信息保护要求的前提下,可依法依规进行个人信息共享。
第十七条 因工作原因,需要公开个人信息时应遵循最小化原则,通过信息组合能识别特定自然人身份并满足公示要求即可,严禁超范围公开其他相关信息,相关个人信息需进行去标识化处理,不得直接公开完整的个人信息。
对于以下个人敏感信息不宜公开,包括:银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息。不得在互联网上(QQ、微信、云盘、微博、企业微信等)发布、传递包含学生、教职工个人隐私(如身份证号、手机号、家庭住址、准考证号等)的文件及信息。
第十八条 个人敏感数据不得用于商业用途,禁止与第三方共享。信息发布或共享使用前必须采用屏蔽、变形、替换等多种手段来满足不同的隐私数据匿名化的数据合规性。
第十九条 共享个人信息原则上通过接口方式实现,确需通过拷贝进行共享的,应报本部门领导同意,并由被共享方签订安全承诺书报网络安全和信息化领导小组办公室备案。
第二十条 报废的存储设备,要确保承载的个人信息已被清理才可进行注销或报废处理。
第四章 责任认定及追责
第二十一条 网络安全和信息化领导小组办公室依照本办法对个人信息的收集、存储、使用及处理情况进行检查。对于出现的违规行为将按照网络安全事件进行处置,校内相关部门及个人应按照本办法及相关整改通知,及时、彻底的整改相关问题。
第二十二条 对于造成重大损失或整改不力的违规行为,由网络安全和信息化领导小组办公室负责汇总,提交网络安全与信息化建设领导小组进行责任认定,确定相关责任人、责任部门,按照《红虎资料论坛网络和信息安全管理办法》等相关管理制度进行追责。对于违反国家法律法规的行为,将配合公安、网信等主管部门进行处理。
第五章 附 则
第二十三条 学校各部门可参照本办法制定本部门的实施细则。
第二十四条 本办法自发布之日起实施,由网络安全和信息化领导小组办公室负责解释。
第二十五条 本办法未尽事宜,依照有关法律法规和上级文件执行。
九站校区